E’ risaputo che i sistemi Unix-like siano stati progettati in modo differente da $altro_os_famoso con una conseguente maggiore resistenza per-default al malware in tutte le sue forme (virus,trojan,rootkit).
Sfortunatamente, però, GNU/*/Linux non è completamente immune ai codici malevoli e quindi potrebbe capitare di trovarsi di fronte ad una macchina colpita da un qualche tipo di rootkit (it , en), magari a causa di qualche errore commesso durante l’hardening del sistema.
All about linux presenta un articolo molto chiaro su cosa sia un rootkit e su quali strumenti si possa fare affidamento per estirpare lo sgradito ospite dal sistema in questione.
Se non avete mai sentito parlare di chkrootkit e di rkhunter si tratta di una lettura obbligata!
[ via Slashdot ]
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
Trovare un rootkit (e sfrattarlo dal sistema) &ra
19 dic 2006 - 00:29 - #1[…] E’ risaputo che i sistemi Unix-like siano stati progettati in modo differente da $altro_os_famoso con una conseguente maggiore resistenza per-default al malware in tutte le sue forme (virus,trojan,rootkit).Sfortunatamente, però, GNU/*/Linux non è completamente immune ai codici malevoli e quindi potrebbe capitare di trovarsi di fronte ad una macchina colpita da un qualche tipo di rootkit (it , en), magari a causa di qualche errore commesso durante l’hardening del sistema. PUBBLICITÀ // PUBBLICITÀ […]
mad_max
19 dic 2006 - 09:39 - #2Ma esistono davvero questi rootkit? è come se state dicendo che i primi ad andare sulla luna sono stati gli italiani!
7 anni di linux, mai avuto un problema di virus/rootkit.
Jena Plisskin
19 dic 2006 - 09:56 - #3Si esistono e nonostante le guide come queste se ne trovo uno sul mio sistema preferisco il restore di un backup. Se non è disponibile allora meglio reinstallare tutto, francamente non è facile capire se un rottkit è stato totalmente estirpato :-(
fp
19 dic 2006 - 10:42 - #4esistono eccome. 7 anni e mai avuto problemi di rootkit.. lo puoi giurare? nel senso come fai a sapere al 100% che non sei mai stato “bucato”? con i rootkit piu’ tosti..”a basso livello”.. non ti appare una finestra d’avviso che ti segnala la sua prenza. io preferisco sempre dire: “in 7 anni.. penso di non essere mai stato compromesso…” :)
ilgufo
19 dic 2006 - 13:53 - #5in 7 anni penso di non averne mai avuto uno :D
(vi va bene? :D )
ossmc
19 dic 2006 - 13:54 - #6Esistono, certo: lo stesso termine “root kit” è stato coniato proprio perchè i primi sono nati in ambiente Unix.
> E’ risaputo che i sistemi Unix-like siano stati progettati in modo differente da $altro_os_famoso con una conseguente maggiore resistenza per-default al malware in tutte le sue forme (virus,trojan,rootkit).
Ma non diciamo idiozie sulla progettazione dei sistemi operativi, grazie. Poi guarda che i Trojan, per la loro stessa natura, si possono realizzare senza aver bisogno dei permessi root dello Unix, funzionando i soli permessi di un utente. I rootkit poi, sono difficilissimi da rilevare su *qualsiasi* sistema: considera che i primi rootkit si nascondevano tra i processi ordinari creando backdoor, ma sovrascrivevano anche i comandi ps, kill, etc.. affinchè non li listassero e li si potesse scoprire ed eliminare.
Inoltre, se hai presente cosa sono i rootkit di nuova generazione basati sulla virtualizzazione (tipo SubVirt), che NON SONO RILEVABILI dal sistema host, ma solo con un’analisi dettagliata del contenuto dell’harddisk eseguita fuori dal sistema operativo, nessun sistema ne è al sicuro.
ossmc
19 dic 2006 - 13:57 - #7Tra l’altro molte delle funzioni di Rootkit Hunter le fa anche rpm, con l’opzione –verify. Ma il controllo delle signature degli eseguibili e delle librerie, benchè utile, non rileva tutti i tipi di rootkit, e si può falsare se si ha accesso al file con le signature.
de Palo Andrea
19 dic 2006 - 14:12 - #8@ossmc
Quando parlavo di una certa sicurezza intrinseca dei sistemi unix-like mi riferivo al fatto che è possibile utilizzare quotidianamente il pc senza il bisogno dell’account di ammministrazione, cosa praticamente impossibile con xp/2k.
Jena Plisskin
19 dic 2006 - 14:43 - #9“ma sovrascrivevano anche i comandi ps, kill, etc.. affinchè non li listassero e li si potesse scoprire ed eliminare.”
Esatto! Ecco perchè non mi fido delle guide tipo “ripristina il tuo Unix dopo un rootkit” :-| Se l’attacco è stato all’altezza, non si è mai sicuri di averlo tolto del tutto. Su un server questo è inamissibile, ma pure un desktop…
ossmc
19 dic 2006 - 16:13 - #10@ de Palo Andrea
guarda che si possono realizzare trojan e worm completamente funzionanti *senza* aver bisogno di permessi root: infatti
1) possono installarsi nella home directory e partire da lì
2) possono usare .bashrc o la lista dei programmi ad avvio automatico del desktop env per lanciarsi in automatico
3) possono leggere i tuoi dati personali, i contatti e-mail, documenti, etc.. perchè sono nella tua home dir e non serve essere root per leggerli
4) possono tranquillamente aprire socket ed utilizzare il sistema.
5) possono sfruttare privilege escalations note ed acquisire i permessi di root(anche se le priv. esc. sono abbastanza rare e corrette in fretta).
Certo, non avere i permessi di root è un pò + complicato, ma considera che se hai anche solo un modo per consentire ad un malware di funzionare, puoi stare certo che i malware lo utilizzeranno.
ossmc
19 dic 2006 - 16:22 - #11Che poi i virus/trojan/worm/ecc per il linux oggi siano rari, non significa che il sistema operativo è strutturalmente + sicuro, ma è più per un fattore accidentale.
Meglio mai abbassare la guardia sulla sicurezza informatica…
ilgufo
19 dic 2006 - 20:33 - #12azz dopo quello che hai detto.. corro ad installare clamav :DDD
Jena Plisskin
19 dic 2006 - 21:17 - #13Clamav ? E che ci fai ? :-) Occorre blindare il sistema, mica siamo sotto windows dove demandiamo la sicurezza ad un softwarino :-PP
PS: modalità clown on, tanto per evitare flame ;)
stc
20 dic 2006 - 10:01 - #14si ma senza i permessi di root stai tranquillo che non mi comprometti un intero sistema ( e tutti gli altri utenti) in windows una volta avuto accesso hai pieno controllo sul sistema e utenti.
Per quanto riguarda la poca diffusione di trojan e malware in genere è anche dovuta al fatto che per i sistemi *NIX trovi o i sorgenti o già tutti i pacchetti dei software, cioè non ti metti a scaricare da siti (o p2p) _poco_ attendibili software pirata.
Non credete alla tesi: “PEr linux ci sono pochi virus/etc perchè è poco diffuso” è falsa, vedi motivi sopra.
Se qualcuno mi può sbiegare altrimenti come potrebbero diffondersi su larga scala io sto a sentire…
Potete rischiare di ubriacarvi se bevete sola acqua dal vostro frigo?? invece con Windows aprite il rubinetto (scaricando sw) e non sapete cosa bevete…
Saluti
stc
ossmc
20 dic 2006 - 18:09 - #15> in windows una volta avuto accesso hai pieno controllo sul sistema e utenti.
Non è così semplice in XP toccare i file *di sistema*, devi essere utente ‘admin’, e nessun utente di base di XP è ‘admin’; questo forma la protezione core. In Vista poi il discorso dei permessi di default credo che cambi abbastanza, ma aspetto di vedere.
> trovi o i sorgenti o già tutti i pacchetti dei software, cioè non ti metti a scaricare da siti (o p2p) _poco_ attendibili software pirata.
Si, ma non è una garanzia al 100% e ad es. considera questo scenario: molti package system non hanno la firma digitale dei pacchetti: se qualcuno hackera una repository ed inserisce pacchetti alterati con malware, potrebbe causare un’epidemia di malware nel linux, visto che ormai molte distribuzioni si aggiornano in automatico. Guarda che questo è un rischio concreto, ed è facilitato dal fatto che il codice sorgente è disponibile.
Semplicemente nel Linux i rischi sono un pò diversi, ma non sono zero.
> Non credete alla tesi: “PEr linux ci sono pochi virus/etc perchè è poco diffuso” è falsa.
quoto
me!
21 dic 2006 - 15:36 - #16“sfrattarlo”?….dove sta scritto come? L’articolo parla solo di detection!
ossblog
05 mag 2007 - 11:37 - #17[…] […]
me!
07 mag 2007 - 10:18 - #18eh sì eh…..non è descritta la rimozione di un rootkit!
(se non con la re-installazione del sistema!)